KI-gestützte Browser, die Aufgaben im Internet automatisieren, können durch versteckte Befehle auf Webseiten manipuliert werden – ein erhebliches Sicherheitsrisiko. Harshith Vaddiparthy berichtet für VentureBeat, dass diese Werkzeuge beispielsweise dazu gebracht werden können, schädliche Anweisungen ohne das Wissen des Nutzers auszuführen.
Das Kernproblem besteht darin, dass die KI-Assistenten nicht zwischen den Anweisungen des Nutzers und Befehlen unterscheiden können, die im Text einer Webseite versteckt sind. Ein Angreifer könnte auf einem Blog oder in einem Social-Media-Beitrag Anweisungen einbetten. Diese könnten die KI dazu bringen, auf die E-Mails des Nutzers zuzugreifen, einen Sicherheitscode zu suchen und ihn an einen Angreifer zu senden. Dem Bericht zufolge würde die KI diese Befehle ausführen, ohne ihre Herkunft oder Absicht zu hinterfragen. Sicherheitsforscher haben solche Angriffe bereits erfolgreich demonstriert.
Diese Schwachstelle unterscheidet KI-Browser grundlegend von traditionellen Browsern wie Chrome oder Firefox. Herkömmliche Browser zeigen Inhalte weitgehend passiv an. KI-Browser hingegen interpretieren diese Inhalte aktiv und handeln auf ihrer Grundlage. Der Bericht vergleicht dies mit dem Ersetzen eines Türstehers durch einen naiven Praktikanten, der jedem vertraut und dessen Anweisungen befolgt. KI-Sprachmodelle können Text sehr gut verarbeiten, ihnen fehlt aber die Fähigkeit, die Vertrauenswürdigkeit einer Quelle zu beurteilen.
Laut dem Artikel führt dieser Konstruktionsfehler zu mehreren kritischen Problemen. KI-Browser können Aktionen ausführen, etwa auf Schaltflächen klicken oder Formulare ausfüllen. Dadurch erhalten Angreifer eine Art Fernsteuerung über das digitale Leben eines Nutzers. Zudem behalten sie den Kontext der gesamten Sitzung im Gedächtnis. Eine einzige kompromittierte Webseite kann also das Verhalten der KI auf allen anderen besuchten Seiten beeinflussen. Nutzer neigen außerdem dazu, ihren KI-Assistenten stark zu vertrauen, wodurch schädliche Aktivitäten seltener bemerkt werden. KI-Browser schwächen zudem absichtlich die Sicherheitsbarrieren, die Webseiten normalerweise voneinander trennen.
Um diese Risiken zu mindern, schlägt der Bericht mehrere Lösungen vor. KI-Browser müssten von Grund auf mit einem Fokus auf Sicherheit entwickelt werden. Dazu gehört es, alle Webseiten-Texte auf schädliche Befehle zu prüfen, bevor die KI sie verarbeitet. Für sensible Aktionen sollte zudem immer die Erlaubnis des Nutzers eingeholt werden. Das System muss die Befehle des Nutzers klar vom Inhalt der Webseite trennen und nach einem „Zero Trust“-Modell arbeiten, bei dem Berechtigungen explizit erteilt werden müssen.
Abschließend wird den Nutzern zu Vorsicht geraten. Sie sollten den Zugriff von KI-Browsern auf sensible Konten beschränken und Transparenz über die Aktionen der KI fordern. Der Bericht schließt mit der Feststellung, dass innovative Funktionen wertlos sind, wenn sie Nutzer derart grundlegenden Sicherheitsgefahren aussetzen.
